Ataques Pass-the-Hash

En muchos de los ataques avanzados persistentes (Advanced Persistent Threats) que Microsoft ha analizado a lo largo de los últimos años, uno de los patrones recurrentes que hemos encontrado es que después de haber logrado ingresar al sistema (muchas veces a través de ataques basados en ingeniería social como spear phishing y/o drive-by downloading) y de haber logrado el escalamiento de privilegios a través de la explotación de alguna vulnerabilidad en el sistema operativo, el siguiente paso es la utilización de ataques tipo Pass-the-Hash (PtH) para robar credenciales que permitan comprometer otros componentes del sistema, y finalmente, comprometer al controlador de dominio y poder tener un control total sobre todo el sistema de información.

En Pass-the-Hash se utiliza una técnica en la cual un atacante captura las credenciales de inicio de sesión en un equipo y después utiliza esas credenciales para autenticarse en otros equipos de la red. Un ataque de PTH es muy similar en concepto a un ataque de robo de contraseñas, pero se basa en el robo y la reutilización de los valores hash de la contraseña, en lugar de la contraseña en texto plano. Luego, este hash se pueden utilizar directamente para acceder a los servicios en caso de utilizar Single-Sign-On (SSO) como por ejemplo cuando se utiliza Kerberos.

Microsoft recientemente publicó un documento Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques [PDF] donde se explican en detalle este tipo de ataques, y más importante aún, donde se discuten estrategias para manejar adecuadamente los posibles vectores de ataque y mitigar los riesgos inherentes al modelo de autenticación actual,a través de acciones específicas que permiten proteger el sistema.

Fuente: Technet

Suscríbete a nuestro Boletín